Аудит информационной безопасности

Аудит информационной безопасности (ИБ) – крайне важный процесс, позволяющий получить объективную информацию о текущем состоянии средств обеспечения ИБ на предприятии, оценить степень защищенности данных и ИТ-систем, их соответствие определенным требованиям и критериям. Аудит ИБ проводится как в качестве первого этапа при внедрении решений по защите информации, так и в ряде случаев вне проекта, когда требуется получить независимую оценку реальной защищенности систем. Проведение аудита дает возможность заранее выявить угрозы и проблемы, чтобы в дальнейшем определить методы их устранения, позволяет существенно повысить уровень безопасности и соответствие средств защиты реальным потребностям бизнеса. Так, по мнению специалистов, проведение внеплановых аудитов позволяет сэкономить до 20% временных и 15% материальных ресурсов на обеспечение ИБ, определяя точки приложения усилий и оптимальные пути решения.

Исходя из целеполагания, «АСТ» предоставляет услуги по проведению трех основных видов аудита информационной безопасности:

• Экспертный аудит, в рамках которого проводится оценка текущего состояния систем и средств защиты, выявление недостатков и уязвимостей.
• Аудит соответствия требованиям, в рамках которого оценивается соответствие средств защиты требуемым международным и отраслевым стандартам.
• Тестирование на проникновение, в ходе которого моделируются действия злоумышленника, направленные на проведение успешной атаки. Цель такого аудита – повышение защищенности за счет выявления и последующего устранения реальных векторов атак.

Аудит осуществляется в несколько этапов:

1. Определение задач проекта. Собирается исходная информация о защищаемых объектах, информации и критериях оценки, проводятся организационные действия по подготовке к аудиту.
2. Согласование условий и границ проведения тестирования на проникновение (внешнее/внутреннее, whitebox/blackbox, сроки/время, границы погружения и прочие важные параметры)
3. Обследование и обработка результатов. Проводится сбор всего комплекса данных о ресурсах, системах средствах защиты, организационных мерах в области ИБ и т.п. По результатам вырабатывается консолидированная отчетность, ложащаяся в основы проведения анализа рисков, анализ соответствия требованиям и разработки рекомендаций.
4. Проведение ручного тестирования на проникновение.
5. Анализ рисков. Комплексная процедура оценки уровня защищенности информационных систем, учитывающая как предоставленную информацию, так и результаты тестирования на проникновение (актуальные вектора атак). Процедурой предусмотрены разработка модели угроз и модели нарушителей.
6. Анализ соответствия стандартам и требованиям стандартов и нормативной документации. В результате соответствие либо подтверждается, либо на этапе разработки рекомендаций определяются пути доводки систем ИБ до требуемого уровня защищенности.
7. Разработка рекомендаций. В их основу ложится весь комплекс полученной в результате обследования информации, аналитики и выводов. Рекомендации охватывают весь комплекс необходимых организационных и технических мер для обеспечения требуемого уровня обеспечения ИБ.

Объектами аудита ИБ могут выступать как отдельные компоненты ИТ-систем и инфраструктуры компании, так и весь комплекс ИТ-решений, содержащих информацию, которая подлежит защите.